| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: C:\Windows\System32\ntdsutil.exe
- プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
- プロセス情報 > 作成元プロセス ID: [親プロセスID]
- プロセス情報 > プロセスのコマンド ライン: "C:\WINDOWS\system32\ntdsutil.exe" "activate instance ntds" ifm "create full [出力先ディレクトリ]" q q
- ターゲット サブジェクト > セキュリティ ID: S-1-0-0
- ターゲット サブジェクト > アカウント名: -
- ターゲット サブジェクト > アカウント ドメイン: -
- ターゲット サブジェクト > ログオン ID: 0x0
- プロセス情報 > 作成元プロセス名: [親実行ファイルのパス]
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\ntdsutil.exe
- FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
- CommandLine: "C:\WINDOWS\system32\ntdsutil.exe" "activate instance ntds" ifm "create full [出力先ディレクトリ]" q q"
- CurrentDirectory: [作業ディレクトリ]
- User: [ドメイン名]\[ユーザー名]
- LogonId: [ログオンID]
- IntegrityLevel: High
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスID]
- ParentImage: [親実行ファイルのパス]
- ParentCommandLine: [親プロセスのコマンドライン]
- ParentUser: [親プロセスの実行ユーザ]
|
| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
- 作成元サブジェクト > アカウント名: [コンピューターアカウント]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: C:\Windows\System32\VSSVC.exe
- プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
- プロセス情報 > 作成元プロセス ID: [親プロセスID]
- プロセス情報 > プロセスのコマンド ライン: C:\WINDOWS\system32\vssvc.exe
- ターゲット サブジェクト > セキュリティ ID: S-1-0-0
- ターゲット サブジェクト > アカウント名: -
- ターゲット サブジェクト > アカウント ドメイン: -
- ターゲット サブジェクト > ログオン ID: 0x0
- プロセス情報 > 作成元プロセス名: C:\Windows\System32\services.exe
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\VSSVC.exe
- FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
- CommandLine: C:\WINDOWS\system32\vssvc.exe
- CurrentDirectory: C:\WINDOWS\system32\
- User: NT AUTHORITY\SYSTEM
- LogonId: [ログオンID]
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスID]
- ParentImage: C:\Windows\System32\services.exe
- ParentCommandLine: C:\WINDOWS\system32\services.exe
- ParentUser: NT AUTHORITY\SYSTEM
|
| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
- 作成元サブジェクト > アカウント名: [コンピューターアカウント]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: C:\Windows\System32\svchost.exe
- プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
- プロセス情報 > 作成元プロセス ID: [親プロセスID]
- プロセス情報 > プロセスのコマンド ライン: C:\WINDOWS\System32\svchost.exe -k swprv
- ターゲット サブジェクト > セキュリティ ID: S-1-0-0
- ターゲット サブジェクト > アカウント名: -
- ターゲット サブジェクト > アカウント ドメイン: -
- ターゲット サブジェクト > ログオン ID: 0x0
- プロセス情報 > 作成元プロセス名: C:\Windows\System32\services.exe
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\svchost.exe
- FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
- CommandLine: C:\WINDOWS\System32\svchost.exe -k swprv
- CurrentDirectory: [作業ディレクトリ]
- User: NT AUTHORITY\SYSTEM
- LogonId: [ログオンID]
- IntegrityLevel: System
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスID]
- ParentImage: C:\Windows\System32\services.exe
- ParentCommandLine: C:\WINDOWS\system32\services.exe
- ParentUser: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
7 |
Image loaded |
Image loaded.
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\ntdsutil.exe
- ImageLoaded: [ntdsutil.exeに読み込まれたモジュール(DLLなど)]
- FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed |
Process accessed.
- UtcTime: [発生日時(UTC)]
- SourceProcessId: [アクセス元プロセスID]
- SourceThreadId: [アクセス元スレッドID]
- SourceImage: C:\WINDOWS\system32\vssvc.exe
- TargetProcessId: [アクセス先プロセスID]
- TargetImage: C:\WINDOWS\system32\ntdsutil.exe
- GrantedAccess: 0x1000
|
| System |
7036 |
Service Control Manager |
[param1] サービスは [param2] 状態に移行しました。
- param1: Volume Shadow Copy
- param2: 実行中
|
| System |
7036 |
Service Control Manager |
[param1] サービスは [param2] 状態に移行しました。
- param1: Microsoft Software Shadow Copy Provider
- param2: 実行中
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\ntdsutil.exe
- TargetFilename: [出力先ディレクトリ]
- CreationUtcTime: [ファイル作成時刻]
- User: [ドメイン名]\[ユーザー名]
ディレクトリの階層毎に当イベントが記録される。 |
| Microsoft-Windows-Sysmon/Operational |
23 |
File Delete archived |
File Delete archived
- User: NT AUTHORITY\SYSTEM
- Image: C:\WINDOWS\system32\lsass.exe
- TargetFilename: C:\Windows\NTDS\edbtmp.log
- Hashes: [.logファイルのハッシュ値]
- IsExecutable: False
- Archived: True
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\lsass.exe
- TargetFilename: C:\Windows\SystemTemp\DSW10D0.tmp
- CreationUtcTime: [ファイル作成時刻]
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\ntdsutil.exe
- TargetFilename: C:\$SNAP_[実行日時]_VOLUMEC$
- CreationUtcTime: [ファイル作成時刻]
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\ntdsutil.exe
- TargetFilename: [出力先ディレクトリ]\Active Directory\ntds.jfm
- CreationUtcTime: [ファイル作成時刻]
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\ntdsutil.exe
- TargetFilename: [出力先ディレクトリ]\Active Directory\ntds.dit
- CreationUtcTime: [ファイル作成時刻]
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\ntdsutil.exe
- TargetFilename: [ユーザー用テンポラリフォルダ]\tmp.edb
- CreationUtcTime: [ファイル作成時刻]
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
23 |
File Delete archived |
File Delete archived
- User: [ドメイン名]\[ユーザー名]
- Image: C:\WINDOWS\system32\ntdsutil.exe
- TargetFilename: [ユーザー用テンポラリフォルダ]\tmp.edb
- Hashes: .edbファイルのハッシュ値
- IsExecutable: False
- Archived: True
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\ntdsutil.exe
- TargetFilename: [出力先ディレクトリ]\registry\SYSTEM
- CreationUtcTime: [ファイル作成時刻]
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\ntdsutil.exe
- TargetFilename: [出力先ディレクトリ]\registry\SECURITY
- CreationUtcTime: [ファイル作成時刻]
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
23 |
File Delete archived |
File Delete archived
- User: NT AUTHORITY\SYSTEM
- Image: C:\WINDOWS\system32\lsass.exe
- TargetFilename: C:\Windows\System32\config\netlogon.dnb
- Hashes: .dnbファイルのハッシュ値
- IsExecutable: False
- Archived: True
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\lsass.exe
- TargetFilename: C:\Windows\System32\config\netlogon.dnb
- CreationUtcTime: [ファイル作成時刻]
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
23 |
File Delete archived |
File Delete archived
- User: NT AUTHORITY\SYSTEM
- Image: C:\WINDOWS\system32\lsass.exe
- TargetFilename: C:\Windows\System32\config\netlogon.dns
- Hashes: .dnsファイルのハッシュ値
- IsExecutable: False
- Archived: True
|
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\lsass.exe
- TargetFilename: C:\Windows\System32\config\netlogon.dns
- CreationUtcTime: [ファイル作成時刻]
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\ntdsutil.exe
- User: [ドメイン名]\[ユーザー名]
- Protocol: tcp
- Initiated: True
- SourceIp: 0:0:0:0:1
- SourceHostname: [ループバックアドレスのホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: 0:0:0:0:1
- DestinationHostname: [ループバックアドレスのホスト名]
- DestinationPort: 389
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\ntdsutil.exe
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > プロトコル: 17 (UDP)
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\ntdsutil.exe
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\ntdsutil.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [ループバックアドレス]
- ネットワーク情報 > ソース ポート: [接続元ポート番号]
- ネットワーク情報 > 宛先アドレス: [ループバックアドレス]
- ネットワーク情報 > 宛先ポート: 389
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
4703 |
Token Right Adjusted Events |
ユーザー権限が調整されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- ターゲット アカウント > セキュリティ ID: [対象ユーザーSID]
- ターゲット アカウント > アカウント名: [対象ユーザー名]
- ターゲット アカウント > アカウント ドメイン: [ドメイン名]
- プロセス情報 > プロセス名: C:\Windows\System32\ntdsutil.exe
- プロセス情報 > プロセス ID: [プロセスID]
- 有効にされた特権: SeBackupPrivilege
|
| Security |
4703 |
Token Right Adjusted Events |
ユーザー権限が調整されました。
- サブジェクト > セキュリティ ID: SYSTEM
- サブジェクト > アカウント名: [コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- ターゲット アカウント > セキュリティ ID: S-1-0-0
- ターゲット アカウント > アカウント名: [コンピューターアカウント]
- ターゲット アカウント > アカウント ドメイン: [ドメイン名]
- プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe
- プロセス情報 > プロセス ID: [プロセスID]
- 有効にされた特権: SeBackupPrivilege
- 無効にされた特権: -
|
| Security |
4703 |
Token Right Adjusted Events |
ユーザー権限が調整されました。
- サブジェクト > セキュリティ ID: SYSTEM
- サブジェクト > アカウント名: [コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- ターゲット アカウント > セキュリティ ID: S-1-0-0
- ターゲット アカウント > アカウント名: [コンピューターアカウント]
- ターゲット アカウント > アカウント ドメイン: [ドメイン名]
- プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe
- プロセス情報 > プロセス ID: [プロセスID]
- 有効にされた特権: SeRestorePrivilege
- 無効にされた特権: -
|
| Security |
4703 |
Token Right Adjusted Events |
ユーザー権限が調整されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- ターゲット アカウント > セキュリティ ID: [対象ユーザーSID]
- ターゲット アカウント > アカウント名: [対象ユーザー名]
- ターゲット アカウント > アカウント ドメイン: [ドメイン名]
- プロセス情報 > プロセス名: C:\Windows\System32\ntdsutil.exe
- プロセス情報 > プロセス ID: [プロセスID]
- 有効にされた特権: SeManageVolumePrivilege
- 無効にされた特権: -
|
| Security |
4799 |
Security Group Management |
セキュリティが有効なローカル グループ メンバーシップが列挙されました。
- グループ > グループ名: [対象ユーザー名]
- グループ > グループ ドメイン: Builtin
- グループ > セキュリティ ID: [対象ユーザーSID]
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- プロセス情報 > プロセスID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe
|
| Security |
4799 |
Security Group Management |
セキュリティが有効なローカル グループ メンバーシップが列挙されました。
- グループ > グループ名: [対象ユーザー名]
- グループ > グループ ドメイン: Builtin
- グループ > セキュリティ ID: [対象ユーザーSID]
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- プロセス情報 > プロセスID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\ntdsutil.exe
|
| Security |
4673 |
Sensitive Privilege Use |
特権のあるサービスが呼び出されました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サービス要求情報 > 特権: SeCreateGlobalPrivilege
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\ntdsutil.exe
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\ntdsutil.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\ntdsutil.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\VssapiPublisher
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\ntdsutil.exe
- TargetObject: HKLM\System\CurrentControlSet\Control\ProductOptions
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\vssvc.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\Registry Writer
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\vssvc.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\COM+ REGDB Writer
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\vssvc.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\ASR Writer
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\vssvc.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\Shadow Copy Optimization Writer
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\vssvc.exe
- TargetObject: HKLM\System\CurrentControlSet\Enum\SCSI\[ストレージデバイス名]\[PnPデバイスインスタンスID]\Device Parameters\Partmgr
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\vssvc.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\Lovelace
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\vssvc.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\VssvcPublisher
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\vssvc.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\FSProvider_{[ファイルシステムプロバイダーIDのGUID]}
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\vssvc.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\SwProvider_{[ソフトウェアプロバイダーIDのGUID]}
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\vssvc.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\Lovelace(C:_)
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
9 |
RawAccessRead detected |
RawAccessRead detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\VSSVC.exe
- Device: \Device\HarddiskVolume[ボリューム番号]
- User: NT AUTHORITY\SYSTEM
|
| Application |
2005 |
ShadowCopy |
lsass [プロセスID] シャドウ コピー インスタンス [インスタンス番号] を開始しています。これは、完全シャドウ コピーとなります。 |
| Application |
2001 |
ShadowCopy |
lsass[プロセスID] シャドウ コピー インスタンス [インスタンス番号] の保持を開始しました。 |
| Application |
2003 |
ShadowCopy |
lsass [プロセスID] シャドウ コピー インスタンス [インスタンス番号] の保持が終了しました。 |
| Application |
2006 |
ShadowCopy |
lsass [プロセスID] シャドウ コピー インスタンス [インスタンス番号] は正常に完了しました。 |
| Microsoft-Windows-Kernel-PnP/Configuration |
400 |
なし |
デバイス [デバイスインスタンス名] が構成されました。
- デバイスインスタンス名: STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[スナップショット番号]
- ドライバー名: volsnap.inf
- クラス GUID: {[デバイスセットアップクラスのGUID]}
- ドライバー日付: [ドライバーのリリース日]
- ドライバー バージョン: [ドライバーバージョン]
- ドライバー プロバイダー: Microsoft
- ドライバー セクション: volume_snapshot_install.NTamd64
- 一致するデバイス ID: STORAGE\VolumeSnapshot
- デバイス更新: False
- 状態: 0x0
- DriverInbox: True
- Parent Device: [シャドウコピーの親デバイス]
|
| Microsoft-Windows-Kernel-PnP/Configuration |
410 |
なし |
デバイス [デバイスインスタンス名] が開始されました。
- デバイスインスタンス名: [シャドウコピーのインスタンスID]
- ドライバー名: volsnap.inf
- クラス GUID: {[デバイスセットアップクラスのGUID]}
- 問題: 0x0
- 状態: 0x0
|
| Microsoft-Windows-Sysmon/Operational |
9 |
RawAccessRead detected |
RawAccessRead detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\VSSVC.exe
- Device: \Device\HarddiskVolume[ボリューム番号]
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
9 |
RawAccessRead detected |
RawAccessRead detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\VSSVC.exe
- Device: \Device\Harddisk0\DR0
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
18 |
Pipe Connected |
Pipe Connected
- EventType: ConnectPipe
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- PipeName: \lsass
- Image: C:\WINDOWS\system32\ntdsutil.exe
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
18 |
Pipe Connected |
Pipe Connected
- EventType: ConnectPipe
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- PipeName: \wkssvc
- Image: C:\WINDOWS\system32\vssvc.exe
- User: NT AUTHORITY\SYSTEM
|
| Security |
4904 |
Audit Policy Change |
セキュリティ イベント ソースの登録が試行されました。
- サブジェクト > アカウント名: [コンピューターアカウント]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- イベント ソース > ソース名: VSSAudit
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\ntdsutil.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag 以下の複数キー
- Details: Binary Data
- User: [ドメイン名]\[ユーザー名]
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\lsass.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag 以下の複数キー
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\vssvc.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag 以下の複数キー
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\DFSRs.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag 以下の複数キー
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\WINDOWS\system32\svchost.exe
- TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag 以下の複数キー
- User: NT AUTHORITY\SYSTEM
|
| Microsoft-Windows-Ntfs/Operational |
9 |
なし |
NTFS はボリューム全体のビットマップをスキャンしました。
- デバイス名: \Device\HarddiskVolumeShadowCopy[シャドウコピー番号]
- 理由: マウント
|
| Microsoft-Windows-Ntfs/Operational |
10 |
なし |
NTFS キャッシュ実行の統計情報。
- デバイス名: \Device\HarddiskVolumeShadowCopy[シャドウコピー番号]
- メディアの種類: ハード ディスク
|
| Microsoft-Windows-Ntfs/Operational |
4 |
ボリューム マウント |
NTFS ボリュームが正常にマウントされました。
- False: \Device\HarddiskVolumeShadowCopy[シャドウコピー番号]
|
| Microsoft-Windows-Ntfs/Operational |
9 |
なし |
NTFS はボリューム全体のビットマップをスキャンしました。
- デバイス名: \Device\HarddiskVolume[ボリューム番号]
- 理由: 例外または構成の変更により、再読み込みが要求されました
|
| Microsoft-Windows-Ntfs/Operational |
10 |
なし |
NTFS キャッシュ実行の統計情報。
- デバイス名: \Device\HarddiskVolume[ボリューム番号]
- メディアの種類: ハード ディスク
|
| Security |
8222 |
VSSAudit |
シャドウコピーが作成されました。
- ユーザーSID: [ユーザーSID]
- ユーザー名: [ドメイン名]\[ユーザー名]
- プロセスID: [プロセスID]
- プロセスのイメージ名: C:\Windows\System32\ntdsutil.exe
- シャドウ セットID: [シャドウコピーのグループID]
- シャドウ ID: [シャドウコピーのID]
- False: [プロバイダーID]
- 元のコンピューター: [ドメインコントローラーのホスト名]
- 元のボリューム: [シャドウコピー対象のボリューム]
- シャドウ デバイス名: 作成されたシャドウコピー名(\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[ボリューム番号])
|
| System |
98 |
なし |
ボリューム [DriveName] ([DeviceName]) 正常です。必要な操作はありません。
- DriveName: ??
- DeviceName: \Device\HarddiskVolumeShadowCopy[シャドウコピー番号]
|
| Microsoft-Windows-Ntfs/Operational |
300 |
ボリュームのマウント解除 |
NTSF ボリュームのマウント解除が開始されました。
- デバイス名: \Device\HarddiskVolumeShadowCopy[シャドウコピー番号]
- プロセス ID: [プロセスID]
- プロセス名: svchost.exe
- 理由: User request
|
| Microsoft-Windows-Ntfs/Operational |
301 |
ボリュームのマウント解除 |
NTFS はボリュームのマウント解除イベント通知を送信し、通知が完了するのを待機しています。 |
| Microsoft-Windows-Ntfs/Operational |
302 |
ボリュームのマウント解除 |
NTFS ボリュームでのボリュームのマウント解除イベント通知が完了しました。 |
| Microsoft-Windows-Ntfs/Operational |
303 |
ボリュームのマウント解除 |
NTSF ボリュームのマウント解除に成功しました。
- デバイス名: \Device\HarddiskVolumeShadowCopy[シャドウコピー番号]
- プロセス ID: [プロセスID]
- プロセス名: svchost.exe
- 理由: User request
|
| Microsoft-Windows-Sysmon/Operational |
5 |
Process terminated |
Process terminated.
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\ntdsutil.exe
- User: [ドメイン名]\[ユーザー名]
|
| Security |
4689 |
Process Termination |
プロセスが終了しました。
- サブジェクト > セキュリティ ID: [ユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 終了状態: 0x0
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\ntdsutil.exe
|